JAPHICマーク取得企業は、常に高い意識を持って個人情報の保護に努める義務があります。
しかし、JAPHICマーク取得企業とはいってもインシデントを完全に防ぐことはできず、特にヒューマンエラーについては十分起こり得ます。
今回は、JAPHICマーク取得企業における個人情報関連の設定ミスについて解説します。
JAPHICマーク取得企業における個人情報関連の設定ミス
JAPHICマーク取得企業では、以下のような個人情報に関する設定ミスが起こることがあります。
・Webサイトでの設定ミス
・社内システムでの設定ミス
各項目について詳しく説明します。
Webサイトでの設定ミス
JAPHICマーク取得企業は、自社でWebサイトを運営していることも多いですが、こちらで設定ミスが発生するケースは少なくありません。
例えば本来アクセス制限をかけるべきページについて、公開設定のままにしてしまうと、個人情報が漏えいしてしまう可能性があります。
またWebサイトに資料をアップロードする際に、誤って別のファイルをアップロードしてしまうというケースもあります。
アップロードしたファイルに社外秘の機密情報や個人情報などが含まれる場合、当然個人情報漏えいとして取り扱われます。
社内システムでの設定ミス
JAPHICマーク取得企業では、社内システムにおける個人情報関連の設定ミスが起こるケースもあります。
例えば機密性の高い情報が含まれるシステムで、アクセス権限の設定を誤り、誰でも閲覧できる状態にすることなどが該当します。
このとき、閲覧できるのが従業員だけだとしても、セキュリティ担当者などの責任者以外も閲覧できる場合は個人情報保護体制が整っているとは言えません。
またシステムのリニューアル時などに、設定変更に不具合が生じ、意図しない顧客情報が閲覧できるようになってしまうケースもあります。
こちらはWebサイトだけでなく、すべての社内システムにおいて注意しなければいけないことです。
JAPHICマーク取得企業での設定ミスを防ぐ方法
JAPHICマーク取得企業において個人情報関連の設定ミスを防ぐためには、まず組織的な対策が必要です。
例えば個人情報の取り扱いに関するルールを改めて見直し、明確に定めた上で全従業員に周知することが挙げられます。
またアクセス権限の最小化や定期的なセキュリティ監査の実施、報告体制の確立なども重要です。
さらに組織的な対策だけでなく、人的な対策についても徹底すべきです。
主な人的対策には、セキュリティ教育や研修の実施、マニュアルの整備やダブルチェック体制の構築などが該当します。
中でもすぐに導入しやすいのがダブルチェックで、重要な設定変更を行う際は、複数人でのチェック体制を設けることでミスを見つける機会を増やせます。
ちなみに技術的な対策としては、データ暗号化の徹底やデータ紛失防止(DLP)ツールの導入、操作ログの記録と監視、システムの自動化、自動チェックなどがあります。
もしJAPHICマーク取得企業で設定ミスが起きた場合は、インシデントの原因となった設定を修正し、外部からのアクセスを遮断するなどただちに被害の拡大を停止させます。
その後必要に応じて弁護士やセキュリティ専門家に相談し、漏えいの事実の公表や影響を受けた本人への謝罪・状況説明を行います。
もちろん、個人情報保護委員会など関係機関にも速やかに報告し、漏えいの原因を詳細に調査した上で再発防止策を策定・実施します。
まとめ
大事な個人情報が関係する設定とはいえ、人間が行っている作業である以上、インシデントのリスクは常に存在します。
そのため、JAPHICマーク取得企業ではヒューマンエラーが起こらないように徹底し、少しでも設定ミスによる個人情報漏えいを防がなければいけません。
またあまり考えたくはありませんが、万が一漏えいが起きた場合に備え、対処における一連の流れを確立しておくことも大切です。
